更多全球网络安全资讯尽在邑安全
威胁行为者积极利用 Apache Tomcat 中的一个关键漏洞,该漏洞被跟踪为 CVE-2025-24813,该漏洞可能在易受攻击的服务器上启用未经授权的远程代码执行 (RCE)。
该漏洞于 2025 年 3 月 10 日首次披露,在概念验证 (PoC) 代码公开发布后仅 30 小时就开始出现漏洞利用尝试。
GreyNoise Intelligence 已确定自 2025 年 3 月 17 日以来一直试图利用此漏洞的四个唯一 IP 地址,最早在 3 月 11 日就观察到了利用尝试。
这些攻击者利用部分 PUT 方法注入恶意负载,这可能会导致在受影响的系统上执行任意代码。
“漏洞利用已经在进行中,攻击企图跨越多个国家/地区。鉴于 Apache Tomcat 的广泛部署,这些早期活动迹象表明可能会有更多的漏洞利用,“安全研究人员警告说。
Apache Tomcat 漏洞 – CVE-2025-24813
CVE-2025-24813 的根本原因在于 Apache Tomcat 在部分 PUT 请求期间如何处理文件路径。
当用户上传文件时,Tomcat 会使用提供的文件名和路径创建一个临时文件,并将路径分隔符替换为点。
这种方法最初是作为防止路径遍历的安全措施,无意中打开了一个新的漏洞。
利用该漏洞主要包括两个步骤:首先,攻击者发送 PUT 请求以上传构建的 Java 会话文件,并纵文件名和路径以利用路径等效漏洞。
其次,攻击者通过发送引用恶意会话 ID 的 GET 请求来触发对上传的会话文件的反序列化,从而可能导致远程代码执行。
该漏洞影响 Apache Tomcat 的多个版本:
-
Apache Tomcat 11.0.0-M1 至 11.0.2
-
Apache Tomcat 10.1.0-M1 到 10.1.34
-
Apache Tomcat 9.0.0-M1 到 9.0.98
漏洞摘要如下:
| 风险因素 | 详情 |
| 受影响的产品 | Apache Tomcat 11.0.0-M1 到 11.0.2Apache Tomcat 10.1.0-M1 到 10.1.34Apache Tomcat 9.0.0-M1 到 9.0.98 |
| 冲击 | 远程代码执行 (RCE) |
| 利用先决条件 | - 默认 servlet 必须启用写入功能 - 必须允许部分 PUT 请求 - Web 应用程序必须使用基于文件的会话持久性 - 存在易反序列化的库 |
| CVSS 3.1 分数 | 9.8(严重) |
漏洞利用尝试和目标区域
地理分析显示,大多数漏洞利用尝试都针对美国、日本、印度、韩国和墨西哥的系统,其中超过 70% 的会话针对美国系统。
研究人员于 3 月 18 日观察到来自拉脱维亚的 IP 的初步漏洞利用尝试,随后在 3 月 19 日观察到来自可追溯到意大利、美国和中国的 IP 的单独尝试。
观察到的唯一 IP
-
为默认 Servlet 启用写入(默认处于禁用状态) -
支持部分 PUT(默认启用) -
使用 Tomcat 的基于文件的会话持久性和默认存储位置的应用程序 -
应用程序包含可能在反序列化攻击中被利用的库
缓解措施
-
立即应用最新的安全补丁 -
监控 Web 服务器日志中意外的 PUT 请求 -
部署 Web 应用程序防火墙 (WAF) 规则以阻止恶意负载 -
跟踪实时漏洞利用活动并阻止恶意 IP
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/hackers-are-actively-exploiting-apache-tomcat-servers/
原文始发于微信公众号(邑安全):黑客正积极利用Apache Tomcat服务器漏洞——请立即打补丁!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论